Log4j Sicherheitslücke cve-2021-44228 Red Alert des BSI Stand 14.12.2021
Was ist passiert?
Es wurde ein Zero-Day-Exploit in der weit verbreiteten Java Bibliothek Log4j gefunden, die es Angreifern ermöglicht, schadhaften Code darüber auszuführen. Das Exploit ist auch bekannt unter den Namen Log4Shell oder LogJam. Das Bundesministerium für Sicherheit in der Informationstechnik (BSI) stuft diesen Vorfall mit der höchsten Kategorie 4 critical/rot ein.
Die Einschätzung des BSI finden sie hier:
Wie sind Virtivity Produkte betroffen?
APOLLO: Apollo enthält IBM Planning Analytics with Watson und kann optional IBM SPSS und Planning Analytics Workspace enthalten, die teilweise von der Sicherheitslücke betroffen sind. Zu dem Thema sind wir in enger Abstimmung mit IBM.
Aktuelle Informationen der IBM zu diesem Thema finden Sie hier.
https://www.ibm.com/blogs/psirt/an-update-on-the-apache-log4j-cve-2021-44228-vulnerability/
apolloTop, AMADEUS und apolloTWU nutzen Log4j der Version 1.2. Log4j der Versionen 1.x ist laut Einschätzung des BSI von der Schwachstelle nicht betroffen. Das BSI empfiehlt Versionen 1.x auf eine aktuelle und sichere Version von Log4j2 zu aktualisieren, um alte, weniger kritische Schwachstellen zu beseitigen und um für zukünftige Updates vorbereitet zu sein. Im Moment werden häufig neue Version von Log4j2 released, die das aktuelle Sicherheitsproblem schließen sollen. Wir werden die Situation beobachten und eine geeignete Version in unsere Produkte einbauen und zeitnah zur Verfügung stellen. Die aktuell bekannten Schwachstellen der bei uns noch eingesetzten Vorversion 1.x sind bei fachgerechter Konfiguration und in der ausgelieferten Konfiguration vermutlich nicht relevant.
SAPConnector, Deployment Tool, Report Mailer, ApolloMail, Mosaik nutzen kein Log4j und sind von der Sicherheitslücke nicht betroffen.
Update 15.12.2021:
Für Planning Analytics Workspace gibt es inzwischen einen Patch der IBM.
Weitere Details unter finden sie hier. https://www.ibm.com/support/pages/node/6525700
Update 17.12.2021
Insgesamt gibt es zu Log4j2 in der Version 2.15. den CVE-2021-45046, der allerdings mit einem Score von 2.6. bewertet wird. D.h., dass ein Patch mit der Version 2.15 den Score von 9.3. auf 2.6 herunterbringt. Besser ist allerdings ein Patch auf die aktuelle Version 2.16, wo der kritische Code entfernt wurde.
Es gib auch ein Einschätzung zu Log4j in der Version 1.2 (CVE-2021-4104), der besagt, dass ein Angriff erfolgreich sein kann, wenn der Angreifer Zugriff auf die Log4j Konfiguration hat. Bei den oben genannt Produkten bedeutet das, dass ein Angreifer schreibenden Zugriff auf das Dateisystem haben muss und über die Berechtigung verfügt, Dienste neu zu starten. Nur so kann die Log4j Konfiguration geändert werden. Die Diskussionen in der Community gehen dahin, dass einige denken, dass der Server dann sowieso erfolgreich übernommen wurde und das kein Log4j Thema ist.
Wenn Sie Updates zu den o.a. Produkten wünschen, treten Sie mit uns in Verbindung. Wir können Ihnen zu den benannten Produkten Patches mit der Version Log4j2 2.16 liefern.
Sollten Sie noch weitere Fragen haben und Unterstützung bei der Einschätzung der Lage wünschen, setzen Sie sich bitte mit uns in Verbindung.
Ihr Ansprechpartner bei Virtivity GmbH
Philipp Krauleidies
Head of Sales
f +49 170 504 469 0
m philipp.krauleidies@virtivity.de